Поделиться через


Частные ссылки для безопасного доступа к Fabric

Частные ссылки можно использовать для обеспечения безопасного доступа к трафику данных в Fabric. Приватный канал Azure и частные конечные точки сети Azure используются для частных отправки трафика данных с помощью магистральной сетевой инфраструктуры Майкрософт, а не через Интернет.

Если используются подключения приватного канала, эти подключения проходят через магистраль частной сети Майкрософт, когда пользователи Fabric получают доступ к ресурсам в Fabric.

Дополнительные сведения о Приватный канал Azure см. в статье "Что такое Приватный канал Azure".

Включение частных конечных точек влияет на многие элементы, поэтому перед включением частных конечных точек необходимо ознакомиться со всей этой статьей.

Что такое частная конечная точка

Частная конечная точка гарантирует, что трафик в элементы Fabric вашей организации (например, отправка файла в OneLake) всегда следует настроенной сети приватного канала вашей организации. Вы можете настроить Fabric, чтобы запретить все запросы, которые не приходят из настроенного сетевого пути.

Частные конечные точки не гарантируют, что трафик из Fabric в внешние источники данных, будь то в облаке или локальной среде, защищен. Настройте правила брандмауэра и виртуальные сети для дальнейшего защиты источников данных.

Частная конечная точка — это единая направленная технология, которая позволяет клиентам инициировать подключения к данной службе, но не позволяет службе инициировать подключение к клиентской сети. Этот шаблон интеграции с частной конечной точкой обеспечивает изоляцию управления, так как служба может работать независимо от конфигурации политики сети клиента. Для мультитенантных служб эта модель частной конечной точки предоставляет идентификаторы ссылок, чтобы предотвратить доступ к ресурсам других клиентов, размещенным в той же службе.

Служба Fabric реализует частные конечные точки, а не конечные точки службы.

Использование частных конечных точек с Fabric обеспечивает следующие преимущества:

  • Ограничьте трафик из Интернета в Fabric и перенаправьте его через магистральную сеть Майкрософт.
  • Убедитесь, что доступ к Fabric может получить только авторизованные клиентские компьютеры.
  • Соблюдайте нормативные требования и требования соответствия требованиям, которым требуется частный доступ к вашим службам данных и аналитики.

Общие сведения о конфигурации частной конечной точки

На портале администрирования Fabric есть два параметра клиента, участвующих в настройке Приватный канал: Приватный канал Azure и блокировка общедоступного доступа к Интернету.

Если Приватный канал Azure настроена правильно и включена блокировка общедоступного доступа к Интернету:

  • Поддерживаемые элементы Fabric доступны только для вашей организации из частных конечных точек и недоступны из общедоступного Интернета.
  • Трафик из виртуальной сети, предназначенных для конечных точек и сценариев, поддерживающих частные каналы, передается через приватный канал.
  • Трафик из виртуальной сети, предназначенных для конечных точек и сценариев, которые не поддерживают частные каналы, будут заблокированы службой и не будут работать.
  • Могут возникнуть сценарии, которые не поддерживают частные ссылки, поэтому они будут заблокированы в службе при включении общедоступного доступа к Интернету.

Если Приватный канал Azure настроена правильно, и блокировка общедоступного доступа к Интернету отключена:

  • Трафик из общедоступного Интернета будет разрешен службами Fabric.
  • Трафик из виртуальной сети, предназначенных для конечных точек и сценариев, поддерживающих частные каналы, передается через приватный канал.
  • Трафик из виртуальной сети, предназначенных для конечных точек и сценариев, которые не поддерживают частные каналы, передаются через общедоступный Интернет и будут разрешены службами Fabric.
  • Если виртуальная сеть настроена для блокировки общедоступного доступа к Интернету, сценарии, не поддерживающие частные каналы, будут заблокированы виртуальной сетью и не будут работать.

OneLake

OneLake поддерживает Приватный канал. Вы можете просматривать OneLake на портале Fabric или на любом компьютере в установленной виртуальной сети, используя проводник OneLake, служба хранилища Azure Explorer, PowerShell и многое другое.

Прямые вызовы с помощью региональных конечных точек OneLake не работают с помощью приватного канала в Fabric. Дополнительные сведения о подключении к OneLake и региональным конечным точкам см. в Разделы справки подключении к OneLake?.

Конечная точка аналитики SQL Warehouse и Lakehouse

Доступ к конечной точке хранилища или аналитики SQL в Lakehouse на портале Fabric защищен Приватный канал. Клиенты также могут использовать конечные точки табличного потока данных (TDS) (например, SQL Server Management Studio, Azure Data Studio) для подключения к хранилищу с помощью приватного канала.

Визуальный запрос в хранилище не работает, если включен параметр клиента "Блокировать общедоступный доступ к Интернету".

Lakehouse, Notebook, Определение задания Spark, среда

После включения параметра клиента Приватный канал Azure выполнение первого задания Spark (записная книжка или определение задания Spark) или выполнение операции Lakehouse (загрузка в таблицу, операции обслуживания таблиц, такие как Оптимизация или вакуум) приведет к созданию управляемой виртуальной сети для рабочей области.

После подготовки управляемой виртуальной сети начальные пулы (параметр вычислений по умолчанию) для Spark отключены, так как это предварительно подготовленные кластеры, размещенные в общей виртуальной сети. Задания Spark выполняются в пользовательских пулах, созданных по запросу во время отправки заданий в выделенной управляемой виртуальной сети рабочей области. Миграция рабочей области между емкостями в разных регионах не поддерживается, если в рабочей области выделена управляемая виртуальная сеть.

Если параметр приватного канала включен, задания Spark не будут работать для клиентов, домашний регион которого не поддерживает Инжиниринг данных Fabric, даже если они используют емкости Fabric из других регионов, которые делают.

Дополнительные сведения см. в разделе "Управляемая виртуальная сеть для Fabric".

Поток данных 2-го поколения

Поток данных 2-го поколения можно использовать для получения данных, преобразования данных и публикации потока данных через приватный канал. Если источник данных находится за брандмауэром, вы можете использовать шлюз данных виртуальной сети для подключения к источникам данных. Шлюз данных виртуальной сети обеспечивает внедрение шлюза (вычислений) в существующую виртуальную сеть, обеспечивая таким образом управляемый шлюз. Подключения шлюза виртуальной сети можно использовать для подключения к Lakehouse или хранилищу в клиенте, требующего приватного канала или подключения к другим источникам данных с виртуальной сетью.

Pipeline

При подключении к Конвейеру через приватный канал можно использовать конвейер данных для загрузки данных из любого источника данных с общедоступными конечными точками в microsoft Fabric lakehouse с поддержкой приватного канала. Клиенты также могут создавать и операционные конвейеры данных с действиями, включая действия записных книжек и потоков данных, используя приватный канал. Однако копирование данных из хранилища данных в хранилище данных в настоящее время невозможно, когда включена приватная ссылка Fabric.

Навык модели машинного обучения, эксперимента и искусственного интеллекта

Модель машинного обучения, эксперимент и навык искусственного интеллекта поддерживает приватный канал.

Power BI

  • Если доступ к Интернету отключен, а если семантическая модель Power BI, Datamart или Dataflow 1-го поколения подключается к семантической модели Power BI или потоку данных в качестве источника данных, подключение завершится ошибкой.

  • Публикация в Интернете не поддерживается, если параметр клиента Приватный канал Azure включен в Fabric.

  • Подписки электронной почты не поддерживаются, если параметр клиента block Public Internet Access включен в Fabric.

  • Экспорт отчета Power BI в формате PDF или PowerPoint не поддерживается, если параметр клиента Приватный канал Azure включен в Fabric.

  • Если ваша организация использует Приватный канал Azure в Fabric, современные отчеты метрик использования будут содержать частичные данные (только события открытия отчета). Текущее ограничение при передаче сведений о клиенте через частные каналы не позволяет Структуре записывать представления страниц отчетов и данные о производительности по закрытым ссылкам. Если ваша организация включила параметры клиента Приватный канал Azure и блокировать общедоступный доступ к Интернету в Fabric, обновление набора данных завершается сбоем, а отчет о метриках использования не отображает никаких данных.

Дом событий

Дом событий поддерживает Приватный канал, позволяя защитить прием и запросы данных из azure виртуальная сеть через частную ссылку. Вы можете получать данные из различных источников, включая служба хранилища Azure учетные записи, локальные файлы и поток данных 2-го поколения. Прием потоковой передачи обеспечивает немедленную доступность данных. Кроме того, можно использовать запросы KQL или Spark для доступа к данным в доме событий.

Ограничения:

  • Прием данных из OneLake не поддерживается.
  • Создание ярлыка для дома событий невозможно.
  • Подключение к хаусу событий в конвейере данных невозможно.
  • Прием данных с помощью приема в очереди не поддерживается.
  • Соединители данных, использующие прием в очереди, не поддерживаются.
  • Запрос дома событий с помощью T-SQL невозможен.

Решения для медицинских данных (предварительная версия)

Клиенты могут подготавливать и использовать решения для обработки данных здравоохранения в Microsoft Fabric с помощью приватного канала. В клиенте с поддержкой приватного канала клиенты могут развернуть возможности решения для обработки данных здравоохранения для выполнения комплексных сценариев приема и преобразования данных для их клинических данных. Это включает в себя возможность приема данных здравоохранения из различных источников, таких как служба хранилища Azure учетные записи и многое другое.

Другие элементы Fabric

Другие элементы Fabric, такие как Eventstream, в настоящее время не поддерживают Приватный канал и автоматически отключаются при включении параметра клиента Block Public Internet Access для защиты состояния соответствия требованиям.

Защита информации Microsoft Purview

Защита информации Microsoft Purview в настоящее время не поддерживает Приватный канал. Это означает, что в Power BI Desktop, работающей в изолированной сети, кнопка конфиденциальности не отображается, сведения о метке не отображаются, а расшифровка PBIX-файлов завершится ошибкой.

Чтобы включить эти возможности в Desktop, администраторы могут настроить теги служб для базовых служб, поддерживающих Защита информации Microsoft Purview, Exchange Online Protection (EOP) и Azure Information Protection (AIP). Убедитесь, что вы понимаете последствия использования тегов служб в изолированной сети частных каналов.

Другие рекомендации и ограничения

При работе с частными конечными точками в Fabric следует учитывать несколько соображений.

  • Fabric поддерживает до 450 емкостей в клиенте, где включена Приватный канал.

  • При создании емкости она не будет поддерживать приватный канал, пока ее конечная точка не будет отражена в частной зоне DNS. Это может занять до 24 часов.

  • Миграция клиента блокируется при включении Приватный канал на портале администрирования Fabric.

  • Клиенты не могут подключаться к ресурсам Fabric в нескольких клиентах из одной виртуальной сети, а только последний клиент для настройки Приватный канал.

  • Приватный канал не поддерживается в емкости пробной версии. При доступе к Fabric через трафик Приватный канал пробная емкость не будет работать.

  • Любое использование внешних изображений или тем недоступно при использовании среды приватного канала.

  • Каждая частная конечная точка может быть подключена только к одному клиенту. Вы не можете настроить приватную ссылку для использования несколькими клиентами.

  • Для пользователей Fabric: локальные шлюзы данных не поддерживаются и не регистрируются при включении Приватный канал. Чтобы настроить шлюз успешно, Приватный канал необходимо отключить. Дополнительные сведения об этом сценарии. Шлюзы данных виртуальной сети будут работать. Дополнительные сведения см . в этих рекомендациях.

  • Для пользователей шлюза, отличных от PowerBI (PowerApps или LogicApps), локальный шлюз данных не работает должным образом при включении Приватный канал. Мы рекомендуем изучить использование шлюза данных виртуальной сети, который можно использовать с закрытыми ссылками. Возможное решение — отключить параметр клиента Приватный канал Azure, настроить шлюз в удаленном регионе (регионе, отличном от рекомендуемого региона), а затем повторно включить Приватный канал Azure. После повторного включения Приватный канал шлюз в удаленном регионе не будет использовать частные каналы. Однако мы не предоставляем поддержку этого сценария.

  • ИНТЕРФЕЙСы REST API ресурсов приватных ссылок не поддерживают теги.

  • Следующие URL-адреса должны быть доступны в клиентском браузере:

    • Требуется для проверки подлинности:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, хотя это может отличаться в зависимости от типа учетной записи.
    • Требуется для работы Инжиниринг данных и Обработка и анализ данных:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (например, https://pypi.org/pypi/azure-storage-blob/json)
      • локальные статические конечные точки для condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*